CVE-2024-50485 — 神龙十问 AI 深度分析摘要

🚨 **本质**：未授权权限提升漏洞。 💥 **后果**：攻击者可绕过认证，直接获取**管理员权限**，彻底掌控网站。

🔍 **CWE-266**：权限管理错误。 🐛 **缺陷**：插件未正确限制功能，允许**未认证用户**注册为高权限角色。

📦 **组件**：WordPress 插件 **Exam Matrix**。 👤 **厂商**：Udit Rawat。 📅 **版本**：**1.5 版本及之前**的所有版本。

👑 **权限**：从“未认证”直接升至**管理员 (Admin)**。 📊 **数据**：CVSS 评分 9.8，可完全**读取、修改、删除**所有网站数据。

🚪 **门槛极低**。 ✅ **无需认证**：未登录状态即可利用。 ✅ **无需交互**：无需用户点击或配合。 ✅ **网络可达**：远程即可攻击。

💻 **有 PoC**：GitHub 上已有公开利用代码 (RandomRobbieBF)。 📝 **描述**：明确标注为“Unauthenticated Privilege Escalation”。

🔎 **自查**：检查 WordPress 后台插件列表。 🔍 **特征**：确认是否安装 **Exam Matrix** 插件。 📉 **版本**：若版本号为 **1.5 或更低**，即存在风险。

🛡️ **官方修复**：数据未提及具体补丁版本，但漏洞已公开。 ⚠️ **建议**：立即联系厂商或查看官方更新日志，升级至**修复版本**。

⚠️ **临时规避**：若无法升级，建议**暂时禁用**该插件。 🚫 **限制访问**：若必须保留，严格限制插件功能的访问权限（如仅限登录用户）。

🔥 **优先级：极高 (Critical)**。 📈 **CVSS 9.8**：接近满分。 🚀 **行动**：立即修复！攻击成本为零，危害极大，需**紧急处理**。